Книга: Инфраструктуры открытых ключей
Определение критериев выбора поставщика технологии или сервисов PKI
Эта лекция посвящена тем проблемам, которые необходимо рассмотреть перед развертыванием PKI. Ключ к принятию взвешенных решений - всестороннее изучение фактического состояния дел, а также требований организации, которые актуальны в настоящее время или приобретут актуальность в перспективе. Анализ большинства проблем позволяет организации определить лучшего поставщика технологии (или сервисов), способного соответствовать этим требованиям.
Приобретение и реализация PKI-решения требуют больших затрат времени и капиталовложений и сопряжены с определенным риском, поэтому организации очень важно правильно выбрать поставщика технологии, руководствуясь оптимальными критериями выбора.
Для того чтобы гарантировать правильность выбора, организации следует обратить внимание на следующие аспекты, характеризующие деятельность поставщика:
* деловую репутацию;
* степень завоевания рынка;
* длительность работы на рынке;
* желание сотрудничать с клиентом, особенно если требуется некоторая доработка продукта с учетом требований заказчика;
* способность предложить несколько альтернативных решений;
* способность предложить разумный по стоимости PKI-продукт, соответствующий стандартам и совместимый с продуктами большинства других поставщиков.
При выборе поставщика технологии PKI наиболее важны следующие критерии:
1 финансовые возможности поставщика;
2 масштабируемость решения ;
3 безопасность решения;
4 надежность операционной работы УЦ ;
5 техническая поддержка поставщика;
6 возможности консалтинга.
Финансовые возможности поставщика
Всегда, особенно в период экономической нестабильности, важна устойчивость финансового положения поставщика, а также его способность адекватно реагировать на изменение технологических стандартов и требований заказчика. Независимо от собственных финансовых возможностей, организации следует выяснить финансовое положение поставщика PKI. Важными характеристиками потенциального поставщика являются:
* баланс компании, в том числе достаточный поток наличности и объем фондов для поддержания бизнеса;
* разумная стратегия привлечения новых клиентов;
* профессиональность менеджмента, поскольку бизнес в сфере компьютерной безопасности связан с динамично меняющимися рынком и требованиями заказчиков >[105].
Поскольку информацию о состоянии финансов обычно раскрывают только открытые компании, организации, придерживающейся консервативного подхода, следует выбирать в качестве поставщика технологии именно такую компанию.
Масштабируемость решения
Функционирование системы PKI так или иначе затрагивает многие ресурсы (персонал, аппаратное и программное обеспечение), поэтому нельзя не учитывать, что с течением времени масштаб системы может существенно возрасти. Очевидно, что разнообразие практических реализаций PKI не позволяет предложить готовое решение поддержки масштабируемости, но тем не менее можно выделить "узкие места" функционирования системы, влияющие на ее расширяемость >[116]:
* генерация ключей;
* хранение сертификатов;
* поддержка списков САС;
* управление жизненным циклом сертификатов и ключей.
Генерация пар ключей требует значительных вычислительных ресурсов; если она выполняется централизованно, то существенно увеличивает рабочую нагрузку на сервер УЦ, так как параллельно с ней происходит выпуск и подписание сертификатов, выполняются криптографические операции, организуется хранение информации в локальной базе данных. Поэтому более рациональным способом обеспечения масштабируемости считается генерация пар ключей пользователями, позволяющая одновременно решить проблему распространения ключей.
Сертификаты обычно хранятся в общедоступном каталоге. В большинстве случаев поддерживается централизованный универсальный каталог (LDAP), для которого сертификаты являются не единственным объектом обслуживания. Для уменьшения рабочей нагрузки на каталог сертификаты и другая информация могут храниться в кэш-памяти приложений (быстродействующей буферной памяти). Этот способ повышения производительности и масштабируемости в целом достаточно эффективен, но требует документального закрепления в политике PKI ограничений на срок хранения сертификатов в кэш-памяти, в течение которого сертификаты остаются действительными.
Для функционирования PKI чрезвычайно важна поддержка списков САС. Следует учитывать, что выбор такого способа проверки статуса сертификатов, как онлайновая верификация, значительно повышает требования к производительности сервера каталогов, поэтому система УЦ должна выдерживать дополнительную нагрузку при возрастании числа пользователей PKI. Кроме того, для нормального функционирования PKI крайне нежелательно совпадение дат окончания срока действия одновременно многих сертификатов и ключей, поэтому их генерация и возобновление должны происходить непрерывно, а не привязываться к определенной дате. Это требование иногда бывает трудно выполнимо, например, в образовательной среде, когда требуется составить список и выдать сертификаты многим учащимся в течение относительно короткого периода времени. Кроме того, при проектировании PKI и организации ее базы данных необходимо учитывать ежедневные часы пиковой нагрузки в работе системы.
Итак, в связи с тем, что организация может расти с течением времени и может расширяться круг ее поставщиков и клиентов, ей важно выбрать масштабируемое PKI-решение, позволяющее управлять большим количеством сертификатов. Предварительно оценивая количество сертификатов, которые будут обслуживаться PKI, следует учитывать, что каждый субъект обычно нуждается не в одном, а во многих сертификатах, поскольку сертификаты имеют разное назначение, могут быть потеряны или просрочены. Таким образом, пользователю необходимо иметь по крайней мере 2-3 сертификата для каждого приложения. Кроме того, масштаб развертывания зависит от количества сертификатов, которое может выпустить PKI за короткий период времени (например, сотни или тысячи сертификатов). В этом случае лучшей стратегией является планирование максимально возможного масштаба, но реализация реально необходимого варианта.
Проблемы масштабирования связаны не только с выпуском сертификатов УЦ, но и с функционированием РЦ. С возрастанием количества сертификатов, которыми необходимо управлять, повышается нагрузка на РЦ. Кроме того, масштабируемость зависит от системы каталога и возможностей базы данных - именно они используются для хранения, поиска и проверки статуса сертификатов. Поэтому, когда речь идет о большом количестве сертификатов (например, заверенных ключом корневого сертификата УЦ в масштабе страны), предлагаемая система организации и управления данными действительно критически важна.
Безопасность
Традиционно считается, что система защищена настолько, насколько защищено ее самое слабое звено, поэтому в контексте безопасности необходимо взглянуть на PKI-решение как на комплекс компонентов, имеющих разную степень защищенности. Организации критически важно, опираясь на международные и национальные стандарты ИТ-безопасности, оценить защищенность разных компонентов PKI, предлагаемых поставщиком, а также безопасность функционирования всей системы.
Гарантии безопасности должны свидетельствовать о том, насколько организация может полагаться на точную и безопасную работу компонентов PKI. Для формального оценивания уровня доверия к определенному продукту могут использоваться критерии специальной программы сертификации или аккредитации. Существуют, например, критерии оценки криптографических модулей и независимые организации, выполняющие оценку в соответствии со стандартами. Имеются другие критерии и процедуры оценки, базирующиеся на "Общих критериях оценки безопасности информационных технологий" >[59]. Существуют также лаборатории тестирования, которые сертифицируют продукты в соответствии с принятыми в отрасли критериями. Очевидно, что больший интерес для организации будут представлять известные PKI-продукты, которые удовлетворяют необходимым критериям.
Надежность операционной работы УЦ
В случае аутсорсинга организации важно привлечь поставщика услуг, поддерживающего на должном уровне операционную работу УЦ. Надежные удостоверяющие центры должны:
* регулярно проходить проверки внешних аудиторов;
* строго документировать процедуры;
* сохранять распределение обязанностей при выполнении всех внутренних операций УЦ;
* поддерживать непрерывность операционной работы.
Кроме того, удостоверяющие центры, генерирующие для организаций корневые ключи, должны сохранять документальные свидетельства того, как эти ключи генерируются, хранятся и подписываются. Некоторые наиболее авторитетные в своей отрасли удостоверяющие центры даже фиксируют на видеопленке и заверяют нотариально все процедуры генерации ключей.
Выбирая инсорсинг, организация должна гарантировать, что ее собственный УЦ способен выполнять операционную работу столь же эффективно, как и внешний УЦ. Важными документами для сертификации операционной работы УЦ являются стандарты проведения аудита. Проверка деятельности УЦ в соответствии с требованиями стандартов дает возможность доверенной третьей стороне (внешнему агентству аудита) установить правильность выполнения операций и надежность УЦ.
Техническая поддержка
Техническая поддержка является решающим моментом при выборе поставщика. Организации важно обратить внимание на следующие аспекты:
* режим предоставления технической поддержки;
* компетентность технических специалистов;
* ограничения на количество обслуживаемых клиентов, использующих линию технической поддержки;
* соглашение об уровне обслуживания в случае расширения организации.
На практике к обслуживанию инфраструктур открытых ключей средних и крупных компаний предъявляются следующие требования:
1 Предоставление технической поддержки ежедневно в круглосуточном режиме.
Так как PKI участвует в выпуске сертификатов и проверке их статуса, ее надежное функционирование должно поддерживаться непрерывно.
2 Компетентность технических специалистов.
Поскольку многие центры технической поддержки клиентов перегружены или предоставляют услуги аутсорсинга, организации следует оценить возможности работающих там специалистов быстро и грамотно оказывать техническую помощь. Если специалисты групп оперативного реагирования не имеют должного опыта и знаний, решение проблем клиента потребует много времени. Надежные центры технической поддержки должны иметь системы управления знаниями, содержащие сценарии немедленного реагирования на разные ситуации, и гарантировать квалифицированную помощь специалистов.
3 Предоставление технической поддержки максимально возможному количеству клиентов, обращающихся за помощью по телефону.
Многие поставщики придерживаются политики "названных клиентов", то есть обслуживают только ограниченное количество определенных людей, которым разрешен доступ к линии технической поддержки. Этот вариант совершенно не подходит компаниям, имеющим территориально распределенную PKI и региональных администраторов.
4 Выполнение условий соглашения об уровне обслуживания в случае расширения организации.
Если соглашение содержит строгие требования, то масштабирование должно быть выполнено немедленно, самое большее - через час после первого обращения; менее строгие требования должны быть выполнены в течение 4-24 часов после первого обращения.
Помощь консультантов
Многие поставщики не имеют возможности самостоятельно участвовать в реализации PKI и интеграции приложений. Поэтому только те из них, которые поддерживают связи с партнерами по консалтингу, способны помочь организации развернуть и наладить функционирование PKI. Именно квалифицированные консультанты в состоянии предложить продуманную архитектуру PKI и вариант реализации с минимальными затратами.
Для оценки возможностей поставщика услуг консультирования оказывать помощь в развертывании PKI и интеграции организации необходимо:
* установить связи с несколькими ведущими консалтинговыми компаниями, ознакомиться с программами подготовки штата консультантов и убедиться в наличии сертификатов, подтверждающих их квалификацию;
* выбрать инструментальные средства интеграции с программным продуктом поставщика или внутренней системой;
* ознакомиться с опытом сотрудничества других организаций с консалтинговыми компаниями, оценить возможности, стоимость и качество услуг консультантов; учесть, что часто на практике расходы на услуги консультантов из-за сложности работ превышают заранее запланированные расходы; убедиться, что выбранная консалтинговая компания успешно работает и обладает проверенной на опыте методологией;
* собрать сведения об опыте и квалификации консультантов, которым предлагается участвовать в проекте развертывания PKI; для масштабного проекта выбирать консультантов, имеющих высокую квалификацию и достаточный опыт, несмотря на более высокие затраты на оплату их труда.
Оглавление книги
- 1.2. Определение количества информации. Единицы измерения количества информации
- Определение версии клиента
- Определение пользовательского формата числовых данных
- Определение целей. Построение цепочек
- Глава 5 Технологии резервного копирования и восстановления данных
- Глава 8 Технологии IP Storage и InfiniBand
- 3.3 Технологии CIFS и SMB
- 4.1 Сферы применения технологии Fibre Channel
- 5.5 Технологии создания моментальных снимков тома
- Определение необходимого системного вызова
- Раздел 1 Лояльность: определение и ключевые факторы
- Определение позиционного уровня